現時点で、最大の制限事項は使えるOSの少なさだろう。MacOSやLinux,
FreeBSDなどが入ったマシンも使っているが、これらでは利用することができ
ない。将来の対応に期待したい。
このネットワークが攻撃を受けるとすれば、以下のいずれかによるだろう。
なお、ここでは無線LANに関連したものに限定し、インターネットや有線で繋
がっているコンピュータなどからの攻撃は含んでいないが、それらにも注意す
べきは当然である。
このいずれかが知られてしまうと、このシステムを正規ユーザとして利用され
てしまう。
本来、無線LANにはVPNのための通信しか流れていないが、サーバなりクライア
ントなりの設定を間違えていると、不正ユーザから、192.168.2.0/24(緑色)
のネットワーク(VPNではない無線LANのパケット:本来、無視す
べきもの)を経由し、サーバないしクライアントのディスクに何かを書きこま
れてしまう。これがワームであれば、そのコンピュータからワームが広まって
いくかも知れない。
対策:パーソナルファイアウォールを適切に設定する。
設定ミスによって脆弱性が発生する可能性は色々考えられるが、ここでは特に
問題が大きいブリッジ設定について述べる。
ブリッジは、本来繋がっていなかったネットワーク同士を繋ぐものである。重
要なネットワークと危険なネットワークをブリッジしてしまうと、いきなり危
険である。ここの例でいえば、192.168.2.0/24(緑色)のネットワークと
192.168.1.0/24 (ピンク)のネットワークとを間違えてブリッジしてしまうと、
結局有線LANと無線LANを直結したのと同じだから、セキュリティも何もあった
ものではない。
対策:設定は慎重に確認する。変更するときにも注意。
「Softether自体は安全か?」と問われれば、「現時点で危険であるという報
告はありません」としか答えられない。
この点について、
作者の論文を読むと、
問題点、制限事項
1) 仮想ハブを設定するためのパスワード、仮想ハブのアカウントのパスワー
ドのいずれかが他人に知られてしまう
対策:これらのパスワードを厳重に管理する。
2) 192.168.2.0/24経由での攻撃
ウィルスチェックソフトを導入し、パターンファイルを常に最新にする。
3) 様々な設定ミス
4) Softether自身の脆弱性
とのこと。RC4はデータを連続的に1つ1つ暗号化していく「ストリーム暗号化
方式」の1つで、いろいろなところで使われている。今までのところ脆弱
性は見つかっておらず、正しく使う限りかなり安全な暗号化方式であると言え
そうだ(なお、WEPでもRC4を使っているにもかかわらずセキュリティ上危険な
のは、WEPでのRC4の使い方が適切ではないからである。このように、正しいア
ルゴリズムを使っていても使い方を間違えるとセキュリティは保てない)。
また、MD5による電子署名という方式も広く使われている技法である。
MD5には問題も示唆されている(アルゴリズム上の問題点が指摘されてはいるが、
実用上支障ない、というのが現時点での専門家の見解らしい。でも、なぜSHA-1を採用しなかっ
たのだろう?)が、まあまあ良い方法だろう。
ただし、大きな穴がない、という保証はどこにもないから、情報には常に気を くばる必要がある。
最後に。お約束ですが、ここにある文書に従って無線LANを構築した結果、何 らかの損害が発生しても筆者は一切の責任を負いません。